Sebezhetőség közzétételi politika

Bevezetés

Az Ansell a biztonsági megoldások globális szakértője, 125 éve találja fel újra a személyi védelmet. A legfejlettebb védelmi megoldásokat nyújtjuk emberek millióinak a munkahelyükön és otthon, hogy megóvjuk őket a veszélyektől. Szakértelmünk, innovatív termékeink és korszerű technológiáink olyan biztonságot és bizalmat jelentenek ügyfeleink számára, amit semmilyen más márka nem képes nyújtani. Az Ansell küldetése az, hogy hiteles és megbízható módon biztosítson innovatív biztonsági megoldásokat, egy Ansell által védett világot teremtve ezáltal.

Ez a szabályzat célja, hogy a biztonsági kutatók számára egyértelmű iránymutatásokat adjon a sebezhetőségek felfedezésével kapcsolatos tevékenységek elvégzéséhez, és hogy közölje a preferenciáinkat a felfedezett kiberbiztonsági sebezhetőségek hozzánk történő benyújtásának módjával kapcsolatban.

Ez a szabályzat leírja, hogy mely rendszerek és kutatási típusok tartoznak e szabályzat hatálya alá, hogyan küldhet nekünk sérülékenységi jelentéseket, és mennyi időt kérünk a biztonsági kutatóknak, mielőtt nyilvánosan nyilvánosságra hoznának egy kiberbiztonsági sérülékenységet.

Arra bátorítjuk, hogy lépjen kapcsolatba velünk, ha bármilyen lehetséges sebezhetőséget szeretne jelenteni a rendszereinkben.

Engedélyezés

Ha biztonsági kutatása során jóhiszeműen igyekszik betartani ezt a szabályzatot, a kutatást engedélyezettnek tekintjük, és együttműködünk Önnel a kiberbiztonsági problémák megértése és gyors megoldása érdekében, és az Ansell nem fog jogi lépéseket javasolni vagy kezdeményezni a kutatásával kapcsolatban. Amennyiben egy harmadik fél jogi lépéseket kezdeményez Ön ellen a jelen szabályzatnak megfelelően végzett tevékenységek miatt, ezt az engedélyt közöljük.

Útmutatók

1. Jelentse az új, egyedi kiberbiztonsági sebezhetőségeket: Ez segít nekünk abban, hogy a minket és ügyfeleinket leginkább érintő kockázatok megoldására összpontosítsunk. Ne nyújtson be nagy mennyiségű alacsony minőségű/alacsony kockázatú jelentést.
2. Ne veszélyeztesse a rendszereket, és ne szivárogtasson ki adatokat: Csak olyan mértékben használjon exploitokat, amennyire az a kiberbiztonsági sebezhetőség meglétének megerősítéséhez szükséges. Miután elegendő információt szerzett ahhoz, hogy jelezze a biztonsági problémát, kérjük, ne próbáljon megállandóságot létrehozni, belső adatokat megcélozni, felsorolni vagy kiszivárogtatni, parancssori hozzáférést létrehozni, sebezhetőséget felhasználni más rendszerekbe való átlépésre. Állítsa le a tesztet, és azonnal értesítse kizárólag az Ansell-t, ha bármilyen érzékeny adatra (beleértve a személyazonosításra alkalmas adatokat, pénzügyi információkat, vagy bármely fél tulajdonában lévő információkat vagy üzleti titkokat) bukkan.
3. Tiszteljen másokat: Ne: megsérti az Ansell bármely alkalmazottjának vagy ügyfelének adatvédelmét, hozzáfér olyan adatokhoz, amelyek nem az Ön tulajdonát képezik, vagy megpróbál hozzáférni azokhoz; a felhasználói élmény bármilyen romlását okozza, nem technikai jellegű támadásokat hajt végre (pl. social engineering, adathalászat vagy az Ansell infrastruktúrájához és alkalmazottaihoz való jogosulatlan hozzáférés), vagy olyan tevékenységeket végez, amelyek negatívan befolyásolhatják az Ansell vagy annak ügyfelei tevékenységét; a termelési rendszerek megzavarását, valamint adatok felfedését, megsemmisítését vagy manipulálását okozza.
4. Együttműködés: Kizárólag az összehangolt közzétételi folyamaton keresztül működjön velünk együtt, amint a kiberbiztonsági sebezhetőséget azonosítják. Az e-mail cím és a HTTPS webes űrlap az alábbiakban érhető el.
5. Értesítsen minket (az alábbi lépéseken keresztül), amint valós vagy potenciális biztonsági problémát fedez fel a rendszerünkben. Szeretnénk azonnal foglalkozni ezekkel a kérdésekkel, és kérjük, hogy a minket időben értesítő értesítés ne maradjon el, amíg Ön esetleg további kutatásokat végez, például más termékekkel kapcsolatban.
6. Adjon ésszerű időt a probléma megoldására, mielőtt nyilvánosságra hozná azt. A kézhezvételtől számított 90 naptári nap (szoftverek, beleértve a felhőalapú rendszereket és mobilalkalmazásokat) vagy 120 naptári nap (hardver, firmware és vezeték nélküli alkalmazások).

Nyilvános közzététel

A fenti irányelvekben foglaltaknak megfelelően a jelen irányelvek betartása érdekében kérjük, hogy ne ossza meg másokkal az Ansellről szóló jelentését, mielőtt azt elküldené nekünk, és amíg mi kivizsgáljuk a feltételezett kiberbiztonsági sebezhetőséget, és esetleg javításon vagy egyéb megoldásokon dolgozunk. Kérjük, hogy minden Ansell-ügyet hozzon felénk, mielőtt nyilvánosságra hozná.

Tájékoztatni fogjuk Önt, amint a kiberbiztonsági sebezhetőség megoldása után véglegesítjük a megállapításainkat. Ezen irányelv betartása érdekében megköveteljük, hogy a blogbejegyzésekben, nyilvános jelentésekben, prezentációkban vagy az üggyel kapcsolatos egyéb nyilvános nyilatkozatokban az Ön megállapításai mellett hivatkozzon az Ansell megállapításaira is. Az Ön által a figyelmünkbe ajánlott sebezhetőséggel kapcsolatos általános idővonalon kívül nem teszünk közzé Önről vagy az Önnel folytatott kommunikációnkról információkat az Ön engedélye nélkül. Ha szeretné, hogy felismerjük, névvel vagy névvel köszönjük meg a tanácsadásban. Az Ansell nem ad hitelt az Ansell és leányvállalatai alkalmazottainak vagy vállalkozóinak az általuk talált sebezhetőségekért.

Amennyiben ez a szabályzat "sebezhetőségre" vagy "sebezhetőségekre" hivatkozik, úgy értendő és értendő, hogy minden ilyen hivatkozás potenciális vagy feltételezett kiberbiztonsági sebezhetőséget jelent, akár így szerepel, akár nem, mindaddig, amíg az ilyen sebezhetőséget az Ansell ki nem vizsgálta és meg nem erősítette. Az, hogy elismerjük-e a sebezhetőség felfedését és az elismerés időpontját, teljes mértékben a mi belátásunkon múlik, és a programot bármikor megszüntethetjük. A tesztelés nem sérthet semmilyen törvényt.

Vizsgálati módszer

A következő vizsgálati módszerek nem engedélyezettek:

• Hálózati szolgáltatásmegtagadási tesztek (DoS vagy DDoS) vagy más olyan tesztek, amelyek akadályozzák a rendszerhez vagy adatokhoz való hozzáférést vagy károsítják azokat.
• Fizikai tesztelés (pl. irodába való belépés, nyitott ajtók, megfigyelés), social engineering (pl. adathalászat, vishing) vagy bármilyen más, nem technikai jellegű sebezhetőségi tesztelés.

Hatókör

Ez a szabályzat a következő rendszerekre és szolgáltatásokra vonatkozik:

• https://ansell.com
• https://guardian.ansell.com
• https://ansellguardianchemical.com
• https://motion.inteliforz.com
• https://demo.motion.inteliforz.com
• Az ansell.com bármely más aldomainje

Ez a politika nem terjed ki az ügyfélkérelmekre.

Hatályon kívüli sebezhetőségek

A sebezhetőségek bejelentésekor kérjük, vegye figyelembe (1) a támadási forgatókönyvet / kihasználhatóságot és (2) a hiba biztonsági hatását. A következő kérdések nem tartoznak a tárgykörbe:

• Clickjacking olyan oldalakon, ahol nincsenek érzékeny műveletek
• Cross-Site Request Forgery (CSRF) a nem hitelesített vagy érzékeny műveleteket nem tartalmazó űrlapokon
• MITM vagy fizikai hozzáférést igénylő támadások a felhasználó eszközéhez
• Korábban ismert, sebezhető könyvtárak működő koncepciópróba nélkül
• CSV (Comma Separated Values) injektálás sebezhetőség bemutatása nélkül.
• Hiányzó legjobb gyakorlatok az SSL/TLS konfigurációban.
• Bármilyen tevékenység, amely szolgáltatásunk megszakításához vezethet (DoS).
• Tartalomhamisítás és szöveges injektálás problémái anélkül, hogy támadási vektort mutatnánk be, illetve anélkül, hogy módosíthatnánk a HTML/CSS-t.
• Rate limiting vagy brute-force problémák a nem hitelesítő végpontokon
• Hiányzó legjobb gyakorlatok a tartalombiztonsági szabályzatban
• Hiányzó Http Only vagy Secure jelző a cookie-kon
• Hiányzó legjobb e-mail gyakorlatok (érvénytelen, hiányos vagy hiányzó SPF/DKIM/DMARC rekordok stb.)
• Kizárólag elavult vagy javítatlan böngészők felhasználóit érintő sebezhetőségek [2 stabil verziónál kevesebbel a legutóbbi stabil verzió mögött]
• Szoftververzió közzététele / Banner-azonosítási problémák / Leíró hibaüzenetek vagy fejlécek (pl. stack traces, alkalmazás- vagy szerverhibák)
• Tabnabbing
• Nyílt átirányítás - kivéve, ha további biztonsági hatás mutatható ki.
• Valószínűtlen felhasználói interakciót igénylő kérdések

A fentiekben kifejezetten fel nem sorolt szolgáltatások, mint például a kapcsolódó szolgáltatások, nem tartoznak a hatálya alá, és nem engedélyezettek a vizsgálatra. Ezen túlmenően a beszállítóink rendszereiben talált kiberbiztonsági sebezhetőségek nem tartoznak e szabályzat hatálya alá, és azokat közvetlenül a beszállítónak kell jelenteni (ha van ilyen) a közzétételi szabályzatának megfelelően. Ha nem biztos benne, hogy egy rendszer a hatálya alá tartozik-e vagy sem, a kutatás megkezdése előtt lépjen kapcsolatba velünk a security.vdr@ansell.com címen.

Bár más, interneten elérhető rendszereket és szolgáltatásokat is fejlesztünk és karbantartunk, kérjük, hogy aktív kutatást és tesztelést csak a jelen dokumentum hatálya alá tartozó rendszereken és szolgáltatásokon végezzenek. Ha van olyan rendszer, amely nem tartozik a hatókörbe, és Ön szerint érdemes lenne tesztelni, kérjük, előbb vegye fel velünk a kapcsolatot, hogy megbeszéljük. Idővel bővíteni kívánjuk ennek a politikának a hatályát.

Sebezhetőség bejelentése

Az ezen irányelv alapján benyújtott információk kizárólag védelmi célokra - a kiberbiztonsági sebezhetőségek mérséklésére vagy orvoslására - használhatók fel. Kifejezett engedély nélkül nem osztjuk meg az Ön nevét vagy elérhetőségi adatait.

A sebezhetőségi jelentéseket az alábbi űrlapon vagy a security.vdr@ansell.com címen fogadjuk. A bejelentések névtelenül is benyújthatók. Ha megosztja elérhetőségi adatait, 3 munkanapon belül visszaigazoljuk a jelentés kézhezvételét.

Nem támogatjuk a PGP-vel titkosított e-maileket. Különösen érzékeny információk esetén küldje el az alábbi HTTPS űrlapunkon keresztül.

Mit szeretnénk látni Öntől

Annak érdekében, hogy segítsen nekünk a beérkezett anyagok osztályozásában és rangsorolásában, javasoljuk, hogy a jelentéseket:

• Írja le a kiberbiztonsági sebezhetőség felfedezésének helyét és a kihasználás lehetséges hatását.
• Adjon részletes leírást a kiberbiztonsági sebezhetőség reprodukálásához szükséges lépésekről (a koncepciót igazoló szkriptek vagy képernyőképek hasznosak), beleértve (adott esetben):
  o Mobilalkalmazás verziója
  o Eszköz típusa, operációs rendszer verziója, böngésző verziója
• Lehetőség szerint angol nyelven.

Mire számíthat tőlünk

Ha úgy dönt, hogy megosztja velünk elérhetőségi adatait, vállaljuk, hogy a lehető legnyíltabban és leggyorsabban egyeztetünk Önnel.

• 5 munkanapon belül visszaigazoljuk, hogy a bejelentést megkapta.
• Lehetőségeinkhez mérten megerősítjük Önnek a kiberbiztonsági sebezhetőség meglétét, és a lehető legátláthatóbb módon tájékoztatjuk Önt arról, hogy milyen lépéseket teszünk a helyreállítási folyamat során, beleértve a megoldást késleltető problémákat vagy kihívásokat is.
• Nyílt párbeszédet fogunk folytatni a kérdések megvitatására.
• Biztonsági hiba vagy sebezhetőség bejelentésével Ön jogot ad nekünk arra, hogy a bejelentését bármilyen célra felhasználjuk.

Kérdések

Az ezzel a politikával kapcsolatos kérdéseket a security.vdr@ansell.com címre lehet küldeni. Arra is kérjük, hogy lépjen kapcsolatba velünk, és tegyen javaslatokat a jelen szabályzat javítására.